Pour Globalsign, spécialiste de l’IAM (Identity and Access Management), le modèle des données en réseau, qui traversent plusieurs couches depuis le câble physique jusqu’à l’application, serait adapté à la gestion des identités. Objets, documents et utilisateurs pourraient ainsi tirer parti de ce nouveau maillage. L’éditeur identifie cinq paliers.
Couche 0 : numéro de série
Les appareils connectés ont une identité qui correspond dans la plupart des cas au numéro de série. Sur la chaîne d’assemblage, chaque constructeur attribue à chaque appareil une chaîne de caractères unique. Ce numéro de série ne remplit en soi aucune fonction de protection ou de sécurité. Il permet simplement d’identifier l’équipement et ne peut être modifié. Les numéros de série ne sont toutefois pas exclusivement réservés aux équipements : les documents d’identité et les billets de banque possèdent également un numéro de série.
Couche 1 : identité de l’objet
Tout objet équipé d’une puissance de traitement pourrait se voir doté d’identifiants ou d’une identité. Cette identité reprendrait des informations de la couche 0 comme éléments constitutifs de l’identité. L’émission d’un certificat pour un appareil connecté avec un numéro de série conférerait à l’appareil sa véritable identité. La puissance de traitement utiliserait cette identité pour permettre à l’appareil de fonctionner. L’appareil pourrait exploiter l’identité pour s’authentifier correctement auprès d’une ressource externe. Cela arrive déjà régulièrement : par exemple, chaque fois que la barre d’adresse d’un navigateur s’affiche en vert, cela signifie que l’utilisateur interagit avec un objet (dans ce cas, un service en ligne) auquel une identité a été attribuée. Dans le cas d’un service, il n’utilise pas de numéro de série, mais une adresse web vérifiée par l’autorité de certification.
Couche 2 : identité de l’utilisateur
Utilisés au quotidien, les objets doivent s’assurer de l’identité de leurs utilisateurs. L’identité utilisateur de base permet d’authentifier un utilisateur sur un objet. Mais plusieurs identités coexistent, éparpillées sur différents services. La majorité d’entre elles sont des mots de passe peu sécurisés ou des identités sociales, d’autres sont plus fortes, comme les identifiants bancaires et les identifiants électroniques délivrés par les gouvernements. Cette couche serait donc constituée de plusieurs degrés de sécurité.
Couche 3 : identité du propriétaire
À chaque objet son propriétaire. Chaque équipement, chaque service, et d’après l’ITIL (Information Technology Infrastructure Library), chaque processus devrait avoir un propriétaire. Le propriétaire doit pouvoir décider qui a le droit de faire quoi avec l’objet. D’un point de vue technique, l’identité du propriétaire ne diffère pas de celle de l’utilisateur, car elle peut également être adossée à un mot de passe, une carte à puce PKI, etc. Du point de vue de l’identité, GlobalSign estime qu’il faudrait différencier ces couches, car c’est l’identité du propriétaire qui a le pouvoir de décision sur l’objet.
Couche 4 : identité autorisée
L’autorisation permet d’accorder des pouvoirs spéciaux aux identités inférieures. L’identité autorisée possède un privilège particulier : elle peut effectuer une action avec l’objet. L’autorisation est accordée par l’identité du propriétaire. L’autorisation est en soi un sujet complexe qui dépend de plusieurs aspects techniques, mais du point de vue de l’identité, les bénéficiaires sont les couches inférieures.
Globalsign en est persuadé, « toutes ces couches d’identité et leurs milliards d’objets peuvent être imbriqués en un immense maillage de connexions. La gestion des identités et des accès tente de mettre de l’ordre dans tout cela. La technologie IAM s’efforce également de réduire le nombre d’identités nécessaires. Dans un scénario idéal, chaque instance d’un objet, utilisateurs compris, ne posséderait qu’une seule identité et les relations seraient décrites à la couche 4 (identités autorisées). Avec l’IAM, un objet peut également exiger que l’identité d’un processus ou d’un utilisateur qui accède au système de gestion des accès et des identités soit suffisamment forte. Le volet gestion des accès de l’IAM permet de centraliser la gestion de ces conditions ».
